Czy hasło jest wymagane w przypadku serwerów z ograniczoną bazą danych [zamknięte]

4

Mam dedykowany serwer bazy danych, który ma PostgreSQL 9.1.

Ten serwer ma zaporę ogniową. Tylko 10.0.0.3 serwer może łączyć się i uzyskiwać dostęp do tego serwera za pośrednictwem zapory. Wszystkie pozostałe żądania z innych adresów IP są odrzucane.

Po zezwoleniu na ten adres IP przechodzi do serwera bazy danych. Na serwerze bazy danych jest użytkownik o nazwie postgres. To hashasło użytkownika . Ale nawet z tym 10.0.0.3może się połączyć tylko z tą bazą danych.

Zasadniczo można tylko 10.0.0.3łączyć się i robić różne rzeczy.

Czy naprawdę potrzebuję hasła? Z powodu mojego niestandardowego skryptu chcę usunąć hasło i połączyć się bezpośrednio bez hasła. Powinienem to zrobić?

W tym momencie jakie są korzyści z utworzenia użytkownika chronionego hasłem tylko dla 1 zastrzeżonego adresu IP. Czy powinienem go nadal używać?

Lub pozwól, że zapytam Cię w ten sposób: Jeśli usunę hasło i ustawię opcję „puste”, co może się zdarzyć - nawet jeśli istnieje ograniczenie adresu IP -?

linux security firewall postgresql Xangr
źródło
3
Każdy może po prostu przypisać statyczny adres IP do swojego systemu i sfałszować swoją drogę do systemu, jeśli polegasz wyłącznie na ograniczeniach opartych na adresie IP.
Der Hochstapler,
@OliverSalzburg Ouch. To jest problem. Właściwie to myślałem teraz, czy to możliwe, czy nie. Hasło jest wtedy konieczne. BTW, oprócz hasła, w jaki sposób mogę im to uniemożliwić?
xangr
2
Cóż, wszyscy są trochę przesadzeni. Wciąż będą musiały znajdować się w twojej podsieci. W każdym razie. Ograniczenia dostępu oparte na adresie IP są przydatne, ale nie powinny być jedynym sposobem zabezpieczenia dostępu. Jeśli potrzebujesz hasła i poprawnego adresu IP, masz już 2 czynniki. Im więcej czynników masz do uwierzytelnienia, tym trudniej będzie uzyskać dostęp.
Der Hochstapler,
Rozumiem sens. Przyjrzę się temu głębiej. Dziękuję za odpowiedź. Jeśli możesz po prostu dodać to jako odpowiedź (obie odpowiedzi), mogę to zaakceptować.
xangr

Odpowiedzi:

2

Każdy w sieci lokalnej może przypisać dany adres IP do swojego systemu, a tym samym uzyskać dostęp do serwera.

Ograniczenia dostępu oparte na IP są jednak przydatne, gdy są stosowane oprócz zwykłych ograniczeń dostępu, takich jak wymóg podania hasła. Im więcej czynników potrzebujesz do udanego logowania, tym trudniej będzie potencjalnemu atakującemu spełnić wszystkie te czynniki.

Der Hochstapler
źródło